Planifier la modification automatique des mots de passe (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2011-03-11

Pour simplifier la gestion des mots de passe, la fonctionnalité de modification automatique des mots de passe vous permet de mettre à jour et de déployer les mots de passe sans mettre à jour les mots de passe manuellement dans différents comptes, services et applications Web. Vous pouvez configurer la fonctionnalité de modification automatique des mots de passe pour déterminer si un mot de passe est sur le point d’être obsolète et pour le redéfinir à l’aide d’une chaîne aléatoire longue au chiffrement puissant. Pour implémenter la fonctionnalité de modification automatique des mots de passe, vous devez configurer des comptes gérés.

Dans cet article :

  • Configuration de comptes gérés

  • Redéfinition automatique des mots de passe selon une planification

  • Détection de l’expiration des mots de passe

  • Redéfinition immédiate du mot de passe des comptes

  • Synchronisation des mots de passe des comptes SharePoint Foundation avec les services de domaine Active Directory

  • Redéfinition immédiate de tous les mots de passe

  • Processus de modification des informations d’identification

Configuration de comptes gérés

Microsoft SharePoint Server 2010 prend en charge la création de comptes gérés pour améliorer la sécurité et garantir l’isolation des applications. À l’aide de comptes gérés, vous pouvez configurer la fonctionnalité de modification automatique des mots de passe pour déployer les mots de passe dans tous les services de la batterie de serveurs. Vous pouvez configurer les services et applications Web SharePoint, en cours d’exécution sur des serveurs d’applications dans une batterie de serveurs SharePoint, de manière à ce qu’ils utilisent différents comptes de domaine. Vous pouvez créer plusieurs comptes dans les services de domaine Active Directory, puis enregistrer ces comptes dans SharePoint Server 2010. Vous pouvez mapper les comptes gérés sur différents services et applications Web dans la batterie de serveurs.

Redéfinition automatique des mots de passe selon une planification

Avant l’implémentation de la fonctionnalité de modification automatique des mots de passe, la mise à jour des mots de passe nécessitait de redéfinir chaque mot de passe de compte dans les services de domaine Active Directory, puis de mettre à jour manuellement les mots de passe des comptes sur tous les services s’exécutant sur tous les ordinateurs de la batterie de serveurs. Pour ce faire, il fallait exécuter l’outil en ligne de commande Stsadm ou utiliser l’application Web Administration centrale de SharePoint. Grâce à la fonctionnalité de modification automatique des mots de passe, vous pouvez désormais enregistrer des comptes gérés et permettre à SharePoint Server 2010 de contrôler les mots de passe des comptes. Les utilisateurs doivent être informés des modifications de mots de passe planifiées et des interruptions de services qu’elles peuvent engendrer, mais les comptes utilisés par une batterie de serveurs SharePoint, des applications Web et divers services peuvent au besoin être automatiquement redéfinis et déployés dans la batterie de serveurs, sur la base de planifications de redéfinition des mots de passe configurées séparément.

Détection de l’expiration des mots de passe

En règle générale, les services informatiques imposent une stratégie suivant laquelle tous les mots de passe de comptes de domaine doivent être redéfinis régulièrement, par exemple, tous les 60 jours. SharePoint Server 2010 peut être configuré de manière à détecter l’expiration imminente des mots de passe et à envoyer une notification par courrier électronique à un administrateur désigné. Même sans l’intervention d’un administrateur, SharePoint Server 2010 peut être configuré de manière à générer et à redéfinir les mots de passe automatiquement. Il est également possible de configurer la planification de la redéfinition automatique des mots de passe afin de réduire au minimum l’impact des interruptions de service éventuelles pendant une redéfinition de mots de passe.

Redéfinition immédiate du mot de passe des comptes

Vous pouvez toujours remplacer une planification de redéfinition automatique des mots de passe par une redéfinition des mots de passe de comptes de service immédiate, en utilisant une valeur de mot de passe spécifique. Dans ce scénario, le mot de passe du compte de service peut également être modifié dans les services de domaine Active Directory par SharePoint Server 2010. Le nouveau mot de passe est ensuite immédiatement propagé aux autres serveurs de la batterie.

Synchronisation des mots de passe des comptes SharePoint Foundation avec les services de domaine Active Directory

Si les mots de passe des comptes des services de domaine Active Directory et de SharePoint Server 2010 ne sont pas synchronisés, les services dans la batterie de serveurs SharePoint ne démarrent pas. Si un administrateur Active Directory modifie le mot de passe d’un compte Active Directory sans coordonner cette modification avec un administrateur SharePoint, il existe un risque d’interruptions de services. Dans ce scénario, un administrateur SharePoint peut redéfinir immédiatement le mot de passe à partir de la page Gestion des comptes en utilisant la valeur du mot de passe préalablement modifié dans les services de domaine Active Directory. Le mot de passe est mis à jour et immédiatement propagé aux autres serveurs de la batterie SharePoint.

Redéfinition immédiate de tous les mots de passe

Si un administrateur quitte soudainement votre organisation ou que les mots de passe des comptes de service doivent être immédiatement redéfinis pour une autre raison, vous pouvez créer rapidement un script Windows PowerShell qui appelle les applets de commande de modification des mots de passe. Vous pouvez utiliser le script pour générer de nouveaux mots de passe aléatoires et déployer ceux-ci immédiatement.

Processus de modification des informations d’identification

Quand SharePoint Server 2010 modifie les informations d’identification d’un compte géré, ce processus se produit sur un seul serveur de la batterie de serveurs. Chaque serveur de la batterie de serveurs est informé que les informations d’identification sont sur le point d’être modifiées et peut, au préalable, effectuer des actions critiques. Si le mot de passe de compte n’a pas encore été modifié, SharePoint Server 2010 essaie de modifier le mot de passe à l’aide d’un mot de passe entré manuellement ou d’une chaîne aléatoire longue au chiffrement puissant. Les paramètres de complexité sont récupérés à partir de la stratégie appropriée (réseau ou locale) et le mot de passe généré sera conforme aux paramètres détectés. SharePoint Server 2010 essaie de valider une modification de mot de passe. Si la validation échoue, il renouvelle l’opération, en utilisant une nouvelle séquence, un nombre de fois spécifié. Si le processus de mise à jour des mots de passe de comptes réussit, il passe au service dépendant suivant, en renouvelant la tentative de validation de modification d’un mot de passe. Si l’opération n’est pas couronnée de succès, chaque service dépendant est informé qu’il peut reprendre son activité normale. Que la validation de la modification d’un mot de passe réussisse ou échoue, une notification d’état de modification de mot de passe automatisée est générée et envoyée par courrier électronique aux administrateurs de batteries de serveurs.

See Also

Concepts

Configurer la modification automatique des mots de passe (SharePoint Server 2010)